据美创安全实验室威胁平台数据统计，勒索病毒的感染量在本月呈现了较为明显的上升趋势。并且，越来越多的网络犯罪分子转向暗网“泄密网站”，以发布敏感数据为由，要挟受害者支付赎金。

2022年3月勒索病毒状况总览

一、受害者所在地区分布

本月国内遭受勒索病毒攻击的地区分布图如下所示，数字经济发达地区仍是攻击的主要对象。

二、勒索病毒影响行业分布

从行业划分来看，传统行业、医疗、教育、政府机构等行业仍是感染勒索病毒的重灾区。

三、勒索病毒家族分布

下图是美创安全实验室对勒索病毒监测后所计算出的3月份勒索病毒家族流行度占比分布图。Makop、Phobos、TellYouThePass三大勒索病毒家族的受害者占比最多。Makop以23%的受害者占比成为本月最“毒”家族。

四、勒索病毒传播方式

下图为勒索病毒传播的各种方式的占比情况。根据统计可以看出，可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主，其次为通过海量的垃圾邮件传播，或利用网站挂马和高危漏洞等方式传播，整体攻击方式呈现多元化的特征。

2022年3月勒索病毒TOP榜

一、Makop

Makop勒索病毒出现于2020年1月下旬，目前已知主要通过恶意邮件渠道传播。Makop病毒加密的方式，是通过本地生成一个随机的AES BLOB，使用RSA公钥对其进行加密后放到被加密文件尾部，同时用上述随机AES密码对文件内容进行加密，全盘加密完成后对内存中使用到的随机AES BLOB进行了清理。

二、Phobos

Phobos勒索软件从2019年开始在全球流行，并一直保持着很高的活跃度，并常年占据勒索病毒榜单前三，其不断推出新变种，并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击，使受害者遭受数据财产的严重损失，影响十分恶劣。

三、TellYouThePass

TellYouThePass勒索病毒在2020年就已经出现活动迹象，主要以集成各种漏洞利用工具来进行传播，曾经利用过MS16-032内核提权、“永恒之蓝”等漏洞，在2021年底Apache Log4j2组件漏洞曝光后，迅速集成了武器库，发动了大批量的攻击，并针对Linux平台开发了对应版本进行加密。

2022年3月国内大型勒索事件回顾

一、郑州某企业遭Phobos勒索病毒攻击

郑州某企业在3月3日遭遇勒索病毒攻击，攻击导致服务器中的所有文件都被加密，并添加了“.`Keyforfiles@mailfence.com`.Devos”扩展名。通过该扩展名可确定病毒为Phobos勒索病毒。其内部人员在发现攻击时，立即关闭了部分网络，成功阻止了勒索病毒的蔓延。

在线点评：

1. Phobos勒索病毒在运行过程中会进行自复制，并在注册表添加自启动项，如果没有清除系统中残留的病毒体，很可能会遭遇二次加密。

2. 勒索病毒越来越多的开始借鉴APT攻击中的一些高级技术，以提高攻击成功的概率，用户在使用电脑时更加需要增强安全意识，注意防范。

二、LockBit勒索病毒攻击南京某企业

3月17日，南京某企业遭到LockBit勒索病毒攻击。据了解，此次攻击感染了多台服务器，服务器中的重要数据无法正常打开，严重影响了部分业务的运行。据了解，LockBit勒索软件团伙自 2019 年 9 月推出勒索软件即服务 (RaaS) 模式以来一直十分活跃，并在各大俄语黑客论坛招募威胁行为者进行破坏和攻击，并为他们提供技术支持。

在线点评：

1. 在新一版的LockBit勒索软件中，该团伙重新设计了 Tor 站点并彻底升级了恶意软件，添加了更多高级功能，包括通过 Active Directory 组策略跨 Windows 域自动加密设备等。

2. 勒索病毒以防为主，针对重要的文档、数据定期需进行非本地备份，一旦文件损坏或丢失，可从备份中进行恢复。

三、福建某企业遭遇Makop勒索软件攻击

福建某企业披露，该企业在3月中下旬遭到勒索软件攻击。攻击者设法渗透了其IT网络，用恶意软件感染了某些重要机器。经过排查，确认部分服务器被感染，被感染的机器中的所有文件都被添加了“.mkp”后缀。根据后缀名可判断此次攻击的勒索病毒属于Makop勒索病毒。该企业内部人员表示，已中断了部分网络进行隔离。

在线点评：

1. Makop勒索病毒主要通过恶意邮件渠道传播。

2. Makop勒索病毒使用RSA+AES的方式加密文件。加密时会尝试结束后台应用的进程，以独占文件完成加密；排除部分加密白名单文件不加密；病毒会尝试加密有写权限的网络共享文件；加密结束后，会删除系统卷影信息，以防止用户通过文件恢复功能找回文件。

四、济南某企业遭到TellYouThePass勒索病毒攻击

3月29日，济南某企业宣布遭遇网络攻击。在网络攻击期间，黑客设法获得对内部域管理的控制权后，在多台服务器上安装了TellYouThePass勒索软件，并添加了“.locked”扩展名。该公司内部消息人士称，此次攻击影响了其信息技术和运营技术系统。

在线点评：

1. 该勒索病毒家族热衷于使用各类热门漏洞武器攻击传播，同时使用RSA+AES的方式对文件进行加密。

2. 若企业内部不慎感染了TellYouThePass勒索病毒，将有可能在短时间内造成大面积文件加密，造成不可挽回的损失。

勒索病毒自救措施介绍

勒索软件具有强破坏性。一旦运行起来，用户很快就会发现其特征，如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。

当我们已经确认感染勒索病毒后，应当及时采取必要的自救措施。之所以要进行自救，主要是因为：等待专业人员的救助往往需要一定的时间，采取必要的自救措施，可以减少等待过程中，损失的进一步扩大。

（一）隔离中招主机

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，防止病毒继续感染其他服务器，造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

1）物理隔离

物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

2）访问控制

加策略防止其他主机接入，关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码，密码采用大小写字母、数字、特殊符号混合的长密码。

（二）排查业务系统

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

（三）联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。

勒索病毒防御方法介绍

面对严峻的勒索病毒威胁态势，美创安全实验室提醒广大用户，勒索病毒以防为主，注意日常防范措施，以尽可能免受勒索病毒感染。

①及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。

⑤数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等， 避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

⑥敏感数据隔离，对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据，对公司业务和机密信息造成重大威胁。

⑦尽量关闭不必要的文件共享。

⑧提高安全运维人员职业素养，定期进行木马病毒查杀。

⑨部署美创数据库防火墙，可专门针对RushQL数据库勒索病毒进行防护。

⑩安装诺亚防勒索软件，防御未知勒索病毒。

美创诺亚防勒索防护能力介绍

为了更好地应对已知或未知勒索病毒的威胁，美创通过对大量勒索病毒的分析，基于零信任、守白知黑原则，创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下，可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

无诺亚防勒索防护的情况下：

在test目录下，添加以下文件，若服务器中了勒索病毒，该文件被加密，增加统一的异常后缀，并且无法正常打开。

开启诺亚防勒索的情况下：

双击执行病毒文件，当勒索病毒尝试加密被保护文件，即test目录下的文件时，诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件，可被正常打开，成功防护恶意软件对被保护文件的加密行为。

开启堡垒模式的情况下：

为保护系统全部文件，可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端，例如ATM机，ATM机的终端基本不太会更新，那么堡垒模式提供一种机制：任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行，从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下，执行该病毒，立刻被移除到隔离区，因此可阻止任何已知或未知勒索病毒的执行。